Một HIDS phát hiện những sự kiện trên một server hay một trạm làm việc và có thể tạo những cảnh báo tương tự như một NIDS. Tuy nhiên, một NIDS có thể điều tra luồng những giao dịch đầy đủ. Những kỹ thuật lẩn tránh của NIDS giống như những tấn công phân mảnh hay ghép nối phiên, thì đều không áp dụng bởi vì HIDS có thể điều tra phiên được kết hợp đầy đủ như là nó được đại diện cho hệ điều hành. Những giao dịch được mã hoá có thể được giám sát bởi vì việc điều tra HIDS của bạn có thể nhìn thấy lưu lượng mạng trước khi nó được mã hoá. Điều này có nghĩa là những chữ ký HIDS sẽ có thể chặn lại các tấn công thông thường và không bị mờ nhạt khi mã hoá.
Một HIDS cũng có khả năng thực hiện những kiểm tra mức hệ thống bổ sung mà chỉ phần mềm IDS được cài đặt trên một host mới có thể được thực hiện giống như việc kiểm tra tính toàn vẹn của file, việc giám sát đăng ký, phân tích log, phát hiện rootkit, và hồi đáp một cách chủ động.
2.2.2.1. Kiểm tra tình toàn vẹn của file
Mỗi file trên một hệ điều hành sẽ tạo ra một dấu vân tay số duy nhất, còn gọi là một hàm băm mã hoá. Dấu vân tay này được tạo ra dựa theo tên và nội dung của file. Một HIDS có thể giám sát những file quan trọng để phát hiện những thay đổi trong dấu vân tay khi ai đó, cái gì đó thay đổi nội dung của file hay thay thế file bằng bản file khác nhau hoàn toàn.
Hình 2.1. Ví dụ về một hàm băm mã hoá được tạo ra từ đầu vào khác nhau
2.2.2.2. Giám sát đăng ký
Đăng nhập hệ thống là một thư muc danh sách tất cả sự cài đặt của phần mềm cũng như phần cứng, cấu hình hệ điều hành, và người dùng, nhóm và những quyền ưu tiên trên một hệ thống Microsoft Window. Những thay đổi do người dùng và nhà quản trị tạo ra với hệ thống thì đều được ghi lại trong những khoá đăng ký hệ thống để mà những thay đổi sẽ được lưu lại khi người dùng đăng xuất hay hệ thống bị reboot. Việc đăng ký cũng cho phép bạn trông thấy cách mà nhân hệ thống tương tác với phần cứng và phần mềm.
Một HIDS có thể nhận ra những thay đổi này của những khoá đăng ký quan trọng để đảm bảo chắc chắn rằng người dùng hay ứng dụng không cài đặt một cái gì mới hay chỉnh sửa một chương trình đang tồn tại với mục đích thâm hiểm. ví dụ, một tiện ích quản lý mật khẩu có thể được thay thế bằng một hành động đã chỉnh sửa và khoá đăng ký bị thay đổi để chỉ tới bản sao hiểm độc.
2.2.2.3. Phát hiện rootkit
Một rootkit là một chương trình được phát triển nhằm đạt được toàn bộ sự điều khiển một hệ điều hành trong khi ẩn hay tương tác với hệ thống trên cái mà nó được cài đặt. Một rootkit được cài có thể ấn các dịch vụ, các tiến trình xử lý, các cổng, file, thư mục và các khoá đăng ký từ phần còn lại của hệ điều hành và từ người dùng.
Một số loại rootkit thông dụng như:
-Firmware: loại firmware chỉ giống như tên gọi của nó, là một loại rootkit cài đặt bằng phần sụn của bạn. Loại rootkit này khó phát hiện bởi vì điển hình là bạn sẽ phải điều tra quá trình gói phần mềm cài đặt đã biên dịch cho việc cài đặt nó lên tường lửa, bộ định tuyến, switch hay thiết bị.
- Virtualized: cài đặt giữa phần cứng hệ thống và hệ điều hành để chặn các cuộc gọi hệ thống. Kiểu rootkit này điển hình là được tải tại thời điểm boot và thực hiện với hệ điều hành giống như một máy ảo. Bất kỳ sự tương tác nào mà bạn thực hiện với máy
tính của mình thì đều được điều tra và cảnh báo ngầm ngay tại thời gian rảnh rỗi của rootkit.
- Kernel level: sẽ thay thế mã được kết hợp với nhân của hệ thống, tiêu biểu là thông qua các trình điều khiển thiết bị hay các mô đun nhân có thể tải, nhằm ẩn tiến trình của rootkit từ phần còn lại của hệ thống. Loại rookit này có thể phát hiện rất khó mỗi khi bị cài đặt bởi vì rootkit mức nhân sẽ lừa hệ thống của bạn bằng việc báo cáo rằng không có gì là bất thường cả.
- Library level: sẽ ráp hoặc móc nối các cuộc gọi hệ thống với những thông tin ẩn về kẻ tấn công.
- Application level: là một trong những loại rootkti thông dụng nhất, thay thế cho một nhị phân ứng dụng đã biết bằng bản sao nhị phân của kẻ tấn công. Đây là cách thông thường biểu thị một phiên bản mang tính chất “trojan” của nhị phân ban đầu.
2.2.2.4. Hồi đáp chủ động
Hồi đáp chủ động cho phép bạn tự động thực thi những lệnh hay hồi đáp khi một sự kiện nào đó hay một tập sự kiện nào đó đc khởi tạo. ví dụ như, một kẻ tấn công đưa ra lời đe dọa chống lại mail server của tổ chức. Sau đó, lời đe dọa sẽ vượt qua tường lửa và cuối cùng là vượt thông suốt bằng tap mạng đã được triển khái để điều tra tất cả lưu lượng mạng tới đích của server mail. NIDS có một chữ ký dành cho tấn công cụ thể này. Dịch vụ hồi đáp chủ động của NIDS sẽ gửi một lệnh tới tường lửa. để khôi phục lại phiên của kẻ tấn công và nơi một rule chặn host đó. Khi kẻ tấn công của kết nối đã được khôi phục lại sẽ cố gắng khởi tọa lại tấn công một lần nữa, và lúc này thì kẻ tấn công đã bị chặn.
Lợi ích của hồi đáp chủ động rất to lớn, nhưng cũng đầy mạo hiểm. Ví dụ như lưu lượng hợp pháp sẽ phải khởi tạo một xác thực giả và chặn một user/ host hợp pháp nếu như các rule được thiết kế không tốt. Nếu một kẻ tấn công biết rằng NIDS của bạn sẽ chặn một chữ ký lưu lượng cụ thể nào đó thì chúng sẽ có thể bắt chước những địa chỉ IP của những server quan trọng trong cơ sở hạ tầng của bạn để từ chối truy cập của bạn. Đây về cơ bản là tấn công DoS, tức là ngăn host của bạn tương tác với địa chỉ IP.